Tomcatでダイジェスト認証を使う
Tomcatには、基本認証やダイジェスト認証などの、HTTPによるアクセス認証の機能が組み込まれています。Webアプリケーションに本格的な認証を付けたい場合には、Tomcatのフォーム認証や自前で用意した認証機構などを使う必要がありますが、簡易的にアクセス制限を施したい場合などは、これらのHTTPによる認証で事足りるでしょう。 そのうち基本認証は、簡単なのでよく利用されます。基本認証では、ユーザーが入力したパスワードは、BASE64という方法で符号化されてネットワーク上を流れます。このBASE64符号化は、そもそも暗号化のための方法ではなく、符号化のアルゴリズムを知っているものならば、誰でも簡単に解読できてしまうものです。そのため、認証時の通信を傍受されると、パスワードが簡単に取得されてしまい、基本的に安全ではありません。 通信経路の秘密性を保つには、SSL(Server Socket L
Tomcatのパスワードをダイジェスト化する
Tomcatでは、基本認証やダイジェスト認証などの認証方法を利用することができます。しかし、パスワードは平文(暗号化されていない普通のテキストファイル)で保存されるため、パスワードが保管されているフォルダへのアクセス権を持つ人に、パスワードを知られてしまう危険性があります。 このようなパスワードの漏えいを防ぐために、ハッシュ関数を用いてパスワードをダイジェスト化して格納しておくという方法があります。ダイジェスト化されたパスワードから元の平文パスワードを復元することは、非常に難しいとされています。従って、万一ダイジェスト化されたパスワードが他人に知られてしまっても、そこから元のパスワードを知られてしまう危険はまずありません。 ユーザー認証の際は、ユーザーが送信した平文パスワードを同じアルゴリズムのハッシュ関数を用いてダイジェスト化し、このダイジェスト化されたパスワード同士を照会することによっ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
